Der betriebliche Datenschutzbeauftragte

Unabhängig von Branche und Unternehmensgegenstand entsteht die Pflicht, wenn ein Unternehmen in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Die Datenbearbeitung muss eine der Hauptaufgaben des Arbeitnehmers sein und nicht nur gelegentlich oder ausnahmsweise wahrgenommen werden. Dazu zählt nicht nur der klassische Fall der Lohnbuchhaltung. Auch Beschäftigte, die im Rahmen ihrer betrieblichen Tätigkeit regelmäßig auf Kundendateien zugreifen, fallen hierunter. Ein völlig untergeordneter Anteil von Datenverarbeitung an der Aufgabenstellung eines Beschäftigten dürfte aber nicht genügen, so z.B. die vereinzelte Erstellung eines Schreibens mit personenbezogenen Daten oder die Entgegennahme personalisierter Kartenzahlungen untergeordnet im Rahmen aller sonstigen Tätigkeiten als Verkäufer. Für die Bestimmung der Anzahl der mit personenbezogenen Daten Beschäftigten ist es unerheblich, ob es sich um Voll- oder Teilzeitkräfte oder um Leiharbeitnehmer handelt. Ein kurzfristiges Unter- oder Überschreiten der Personengrenze ist irrelevant.

Unabhängig von der Unternehmensgröße ist die Benennung eines Datenschutzbeauftragten in bestimmten Branchen und Tätigkeiten Pflicht, in denen typischerweise Daten besonders sensibel sind oder die Verarbeitung besonders riskant oder besonders umfangreich ist.

So müssen Unternehmen,

immer einen Datenschutzbeauftragten bestellen.

Das Unternehmen muss – sofern erforderlich – einen Datenschutzbeauftragten bestellen und ihn über ein Online-Tool auf der Internetseite der Aufsichtsbehörde melden. Die fehlende oder nicht rechtzeitige Bestellung eines Datenschutzbeauftragten ist eine bußgeldpflichtige Ordnungswidrigkeit.

Der Datenschutzbeauftragte muss die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. Er ist der Unternehmensleitung unmittelbar zu unterstellen. In Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes ist er weisungsfrei. Um Interessenkonflikte zu vermeiden, darf er nicht Teil des leitenden Managements sein. Der (interne) betriebliche Datenschutzbeauftragte genießt einen besonderen Kündigungsschutz für ein Jahr über das Ende seiner Bestellung hinaus. Der Arbeitgeber muss ihm die zur Erhaltung der Fachkunde notwendigen Fort- und Weiterbildungen ermöglichen und deren Kosten tragen.

Datenschutzbeauftragte können intern (Mitarbeiter) oder extern (Dienstleister) bestellt werden. Während langjährige Mitarbeiter in der Regel den Betrieb im Detail kennen, vernetzt und ansprechbar sind, bringen externe Vollprofis oft praxistaugliche Lösungen aus anderen Betrieben mit ein und verteilen ihre Weiterbildungskosten auf mehrere Kunden. Insofern bieten beide Varianten unterschiedliche Vor- und Nachteile. Ggf. kann es sich auch anbieten, einen internen Datenschutzbeauftragten zu bestellen und ihm ein Budget für externe Beratungsleistungen nach Bedarf zur Verfügung zu stellen. Selbständige Anbieter von Datenschutzdienstleistungen haben in der Regel einen Internetauftritt, den man zur Basisinformation und Kontaktaufnahme gut nutzen kann. Bei den Anbietern gibt es alle Unternehmensgrößen vom Einzelkämpfer bis zur Fachabteilung der großen überregionalen Unternehmensberater oder Steuerberater.

Es empfiehlt sich, mehrere Angebote einzuholen, um Preise und Leistungsumfang vergleichen zu können. Idealerweise hat der externe Datenschutzbeauftragte bereits Erfahrungen mit dem Landesdatenschutzbeauftragten des zuständigen Bundeslandes sowie Erfahrungen mit den branchenüblichen Datenströmen und Datenschutzproblemen. Positiv ist auch, wenn der externe Datenschutzbeauftragte Mitglied in einem Berufsverband ist.

Um die Zusammenarbeit vor einer auf Dauer angelegten Bestellung zum externen Datenschutzbeauftragten zu testen, kann es sich anbieten, zunächst eine Bestandsaufnahme oder ähnliche überschaubare Dienstleistung zu vereinbaren.